KVKK’dan Mesai Takibinde Biyometrik Veri İşlenmesine İlişkin Yeni İlke Kararı

Kişisel Verileri Koruma Kurulu (“Kurul”), 2 Haziran 2026 tarihli ve 33268 sayılı Resmi Gazete’de yayımlanan “Mesai Takibi Amacıyla Biyometrik Veri İşlenmesi Hakkında İlke Kararı” (“İlke Kararı”) ile iş yerlerinde mesai takibi amacıyla kullanılan biyometrik tanıma sistemlerine ilişkin yaklaşımını Kişisel Verilerin Korunması Kanunu ("KVKK") doğrultusunda netleştirdi.

Son yıllarda çalışanların işe devamlılığının takibinde parmak izi, yüz tanıma ve benzeri biyometrik sistemlerin kullanımının yaygınlaşması karşısında Kurul; bu uygulamaların yalnızca veri işleme şartları bakımından değil, aynı zamanda ölçülülük, gereklilik ve veri minimizasyonu ilkeleri çerçevesinde de değerlendirilmesi gerektiğini vurguluyor.

Biyometrik Veriler İçin Daha Yüksek Koruma Standardı

İlke Kararı, çalışanların işe giriş-çıkış saatlerinin takibi amacıyla kullanılan biyometrik sistemlere odaklanıyor. Kurul, biyometrik verilerin özel nitelikli kişisel veri niteliğinde olduğunu; geri döndürülemez özellikleri nedeniyle diğer birçok kişisel veri kategorisine kıyasla daha yüksek koruma gerektirdiğini hatırlatıyor. Bu kapsamda parmak izi, yüz tanıma, iris/retina taraması gibi yöntemlerin, veri koruma mevzuatı bakımından “rutin” bir çalışan devam kontrol aracı olarak değil; ayrı ve sıkı bir değerlendirmeye tabi bir veri işleme faaliyeti olarak ele alınması gerektiği belirtiliyor.

Hukuka Uygunluk İncelemesi- KVKK m. 6 Çerçevesinde Dar Yorum

İlke Kararı’nda Kurul, mesai takibi ihtiyacının iş mevzuatında tanınan bir uygulama alanı bulunmasına rağmen, bunun biyometrik verilerin işlenmesini kendiliğinden meşrulaştırmadığı yaklaşımını benimsiyor.

Kurul’un değerlendirmesi özellikle şu iki noktada yoğunlaşıyor:

• “Kanunlarda açıkça öngörülme” şartı: İş mevzuatında veya benzeri özel mevzuatlarda mesai/çalışma sürelerinin takibine ilişkin genel çerçeve bulunsa da, bu düzenlemelerin biyometrik veri işlenmesini açıkça öngörmediği; dolayısıyla özel nitelikli kişisel veri bakımından aranan “kanunilik” standardını karşılamadığı sonucuna varılıyor.
• “İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması” şartı: Kurul, iş ilişkisi/istihdam bağlamına yapılan genel göndermelerin, özel nitelikli kişisel veri işleme için aranan dar ve belirli hukuki dayanağı tek başına oluşturmadığı; iş mevzuatındaki hükümlerin bu anlamda KVKK’daki istihdam istisnasını otomatik olarak “karşılamadığı” yönünde bir çizgi benimsiyor.
• Açık Rıza Her Zaman Güvenli Dayanak Değil: İlke Kararı’nda dikkat çeken bir diğer nokta, çalışanlardan alınan açık rızanın tek başına yeterli bir hukuki dayanak olarak kabul edilmesinin her durumda mümkün olmayabileceğine ilişkin değ Kurul, işçi-işveren ilişkisinin doğası gereği taraflar arasında tam anlamıyla eşit bir konum bulunmadığını; bu nedenle çalışanların rızasının her durumda özgür iradeye dayandığının varsayılamayacağını belirtiyor. Bu yaklaşım, mesai takibi gibi “iş ilişkisinin devamı” ile yakından bağlantılı süreçlerde rızaya dayanmanın, uygulamada geçerlilik tartışmalarını beraberinde getirebileceğine işaret ediyor.

Kurul, hukuka uygunluk değerlendirmesini Anayasa Mahkemesi Genel Kurulu’nun 10/03/2022 tarihli kararı ile de destekliyor. Söz konusu kararda, parmak izi kayıt sistemi ile mesai takibi yapılmasına ilişkin 2018/11988 numaralı bireysel başvuru kapsamında; Anayasa’nın 20. maddesi uyarınca kişisel verilerin ancak kanunda öngörülen hâllerde veya kişinin açık rızasıyla işlenebileceği; özel nitelikli kişisel verilerin ise daha sıkı kurallara tabi tutulduğu ifade ediliyor. Kararda ayrıca, somut olayda 657 sayılı Devlet Memurları Kanunu ve 5393 sayılı Belediye Kanunu çerçevesinde mesai takibi amacıyla biyometrik veri temelli takip sistemlerinin kullanımına ilişkin temel esasları ve ilkeleri belirleyen açık bir düzenleme bulunmadığı; bu nedenle müdahalenin kanunilik şartını sağlamadığı gerekçesiyle kişisel verilerin korunmasını isteme hakkının ihlal edildiği sonucuna varıldığı görülüyor.

Ölçülülük ve Alternatif Yöntemler- KVKK Md 4

Kurul, yalnızca veri işleme şartlarını (KVKK m. 6) değil; hukuka uygunluk varsayılsa dahi işleme faaliyetinin KVKK m. 4’teki genel ilkelere uygunluğunu ayrıca tartışıyor. Bu çerçevede İlke Kararı’nın en güçlü mesajlarından biri, mesai takibi amacına daha az müdahaleci yöntemlerle ulaşılabildiği durumlarda biyometrik veri kullanımının ölçülülük kriterini karşılamayacağı yönündeki vurgudur.

Mesai takibinin;

• şifre kartı/personel kartı,
• PIN sistemi,
• RFID/NFC tabanlı çözümler,
• imza çizelgeleri

gibi alternatiflerle de gerçekleştirilebildiğine dikkat çekerek, gereklilik ve veri minimizasyonu değerlendirmesini öne çıkarıyor. Kurul, ölçülülük değerlendirmesini yargı içtihadı ile de destekliyor. Bu kapsamda Danıştay 12. Dairesi’nin 2021/3870 E., 2023/2548 K. sayılı kararına konu olayda, mesai takibinde avuç içi damar okuyucu kullanımına ilişkin işlemin iptali talep edilmiş; değerlendirmede KVKK m. 4’teki “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesi ile özel nitelikli veri işleme rejiminin birlikte ele alınması gerektiği görülmüştür. Ayrıca Danıştay İdari Dava Daireleri Kurulu’nun 2024/225 E., 2024/2625 K. sayılı kararıyla, ölçülülük ilkesi çerçevesinde “ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılması” vurgusunun esas alınarak bu yaklaşımın teyit edildiği anlaşılmaktadır.

Teknik ve İdari Tedbirler Boyutu- KVKK m. 12

İlke Kararı, biyometrik verilerin özel nitelikli veri olması nedeniyle, işverenlerin KVKK m. 12 kapsamındaki teknik ve idari tedbir yükümlülüklerini de daha yüksek bir standartta ele alması gerektiğine işaret eder. Bu çerçevede, yalnızca “hukuki dayanak” tartışması değil; aynı zamanda biyometrik veriye erişim, saklama süreleri, güvenliğin sağlanması, yetkilendirme ve denetim mekanizmaları gibi başlıklarda risk temelli bir yaklaşım benimsenmesi önem taşımakta.

Bu İlke Kararı İşverenler Açısından Ne Anlama Geliyor?

Yayımlanan bu İlke Kararı, Kurul’un daha önce bazı veri sorumlularına şikayet/ihbar üzerine yaptığı incelemeler neticesinde verdiği cezaların yer aldığı kararların ötesinde, çalışanların mesai kontrolü gayesiyle işletilen biyometrik sistemlerin veri koruma hukuku çerçevesinde artık çok daha sıkı bir mercek altına alınacağının net bir sinyalidir. Bu doğrultuda işverenlerin;

• Çalışan mesai devam takibinde biyometrik veri işlenmesinin hukuken ve fiilen mutlak bir zorunluluk taşıyıp taşımadığını yeniden tartması,
• Söz konusu takip amacını gerçekleştirmeye yarayacak, biyometrik olmayan ve daha az müdahaleci alternatif yöntemlerin uygunluğunu araştırması,
• Mevcut takip sistemlerinin dayandığı hukuki gerekçeleri ve şirket içi veri işleme prosedürlerini detaylı bir denetime tabi tutması,
• Özel nitelikli kişisel verilerin muhafazası için zorunlu olan teknik ve idari güvenlik tedbirlerini (KVKK m. 12); Kurulun 31/01/2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı ve bu yeni İlke Kararı ışığında gözden geçirerek revize etmesi,

büyük önem arz etmektedir.